ข้อมูลส่วนตัวของประชาชนในสหรัฐฯ กว่า 80 ล้านรายรั่วไหล

เป็นข่าวพาดหัวไม่เว้นแต่ละวันสำหรับเหตุการณ์ข้อมูลรั่วไหล โดยครั้งนี้มีทีมนักวิจัยได้ค้นพบฐานข้อมูลบนคลาวด์ที่ไม่มีระบบป้องกัน ซึ่งภายในบรรจุข้อมูลทั้งข้อมูลส่วนตัวและข้อมูลทางการเงินของประชาชนในสหรัฐฯ มากกว่า 80 ล้านครัวเรือน เทียบกับที่เคยเกิดเหตุการณ์ลักษณะคล้ายกันนี้อีก 2 ครั้งก่อนหน้า ที่กระทบกับประชากรกว่า 200 ล้าน และ 82 ล้านรายของอเมริกาเช่นกัน แต่เหตุการณ์ล่าสุดนี้ นักวิจัยจาก vpMentor พบฐานข้อมูลขนาด 24 GB โฮสต์บนเซิร์ฟเวอร์คลาวด์ของไมโครซอฟท์ ข้อมูลดังกล่าวประกอบด้วยจำนวนคนที่อาศัยในบ้านแต่ละหลัง พร้อมชื่อนามสกุลเต็ม, สถานการณ์แต่งงาน, รายได้, อายุ, ที่อยู่, รัฐ, ประเทศ, เมือง, รหัสไปรษณีย์, เพศ, วันเดือนปีเกิด ไปจนถึงตำแหน่งที่ตั้งที่ละเอียดระดับพิกัดละติจูด ลองติจูด vpnMentor ระบุผ่านบล็อกของตัวเองว่า ฐานข้อมูลดังกล่าวถูกค้นพบระหว่างการทำโปรเจ็กต์แผนที่เว็บขนาดใหญ่ของบริษัท แม้กรณีทำนองนี้โดยปกติแล้วนักวิจัยจะสามารถระบุหาต้นตอและเจ้าของฐานข้อมูลได้ง่าย แต่เคสนี้จนถึงปัจจุบันก็ยังไม่ทราบว่าใครเป็นคนเอามาเปิดเผยบนโลกออนไลน์แบบที่ไม่มีระบบยืนยันตัวตนใดๆ ป้องกันไว้ ——————————————— ที่มา : EnterpriseITPro / 8 พฤษภาคม 2562 Link : https://www.enterpriseitpro.net/sensitive-data-of-80-million-us-households-exposed-online/

‘ประยุทธ์’ ยันเก็บ DNA ทหารเกณฑ์ เพื่อเป็นฐานข้อมูลความมั่นคง ย้ำไม่ละเมิดสิทธิ์

17 เม.ย.2562 จากกรณีเจ้าหน้าที่เก็บตัวอย่างสารพันธุกรรมหรือดีเอ็นเอ (DNA) ของผู้เข้ารับการเกณฑ์ทหารในพื้นที่ 3 จังหวัดชายแดนใต้ จนถูกวิพากษ์วิจารณ์ว่าไม่เคารพในสิทธิในเนื้อตัวร่างกายและความเป็นส่วนตัวของผู้เข้ารับการเกณฑ์ทหาร โดย มูลนิธิผสานวัฒนธรรมออกแถลงการณ์ เรียกร้องให้เจ้าหน้าที่ที่เกี่ยวข้องยึดมั่นในหลักนิติธรรม มีความโปร่งใส โดยขอเรียกร้องให้ยุติการเก็บตัวอย่างสารพันธุกรรมหรือดีเอนเอของผู้เข้ารับการเกณฑ์ทหารและทำลายตัวอย่างสารพันธุกรรมที่ได้เก็บไปแล้วด้วยนั้น ล่าสุดวันนี้ ประชาชาติธุรกิจออนไลน์ รายงานว่า พล.อ.ประยุทธ์ จันทร์โอชา นายกรัฐมนตรี และหัวหน้ารักษาความสงบแห่งชาติ (คสช.) ให้สัมภาษณ์ภายหลังการประชุมคณะรัฐมนตรี (ครม.) ในวันนี้ถึงกระเเสการคัดค้านการเกณฑ์ทหาร เเละการตรวจดีเอ็นเอดังกล่าวว่า ตนขอชี้เเจงว่าการเก็บดีเอ็นเอของทหารชายเเดนภาคใต้เป็นครั้งเเรกในการตรวจดีเอ็นเอของพลทหาร ถือเป็นปีเเห่งหารนำร่อง ซึ่งเริ่มในจังหวัดชายเเดนใต้ก่อน เนื่องจากมีปัญหาด้านความมั่นคง ส่วนจะขยายไปยังพื้นที่จังหวัดอื่นๆ นั้นไม่ได้มีการบังคับ “การตรวจดีเอ็นเอได้มีการเเจ้งให้ผู้เข้าเกณฑ์ทหารทราบก่อนทั้งหมด ขึ้นอยู่กับความสมัครใจเเละความยินยอมของเเต่ละคน ส่วนใหญ่ให้ความร่วมมือดี เข้าใจในเหตุผล เเละไม่ได้เป็นการละเมิดสิทธิ์ ส่วนการเก็บดีเอ็นเอไว้เพื่อเป็นฐานข้อมูลเเห่งความมั่นคง เพราะเข้ารับราชการทหารเพียง 2 ปี” พล.อ.ประยุทธ์ กล่าวทิ้งท้าย ————————————————————– ที่มา : ประชาไท / 17 เมษายน 2562 Link : https://prachatai.com/journal/2019/04/82097

รายงานหน้า 2 : เปิดสาระสำคัญ‘กม.ใหม่’ คุ้มครองข้อมูลส่วนบุคคล

หมายเหตุ – สาระสำคัญบางส่วนของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. … ที่ผ่านความเห็นชอบจากสภานิติบัญญัติแห่งชาติ (สนช.) แล้ว พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. … เหตุผลและความจำเป็นในการจำกัดสิทธิและเสรีภาพของบุคคลตาม พ.ร.บ.นี้เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ มาตรา 5 พ.ร.บ.นี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร พ.ร.บ.นี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรโดยการดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว เมื่อเป็นกิจกรรม ดังต่อไปนี้ (1) การเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรไม่ว่าจะมีการชำระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม (2) การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร มาตรา 6 “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล การคุ้มครองข้อมูลส่วนบุคคล มาตรา 19 ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น…

ระวัง ! มัลแวร์ตัวใหม่ชื่อ Clipper ดูดรหัสและข้อมูลในอุปกรณ์ของคุณ

นักวิจัยจาก ESET ค้นพบมัลแวร์ที่มากับแอพอันตรายบน Google Play Store บนแอนดรอยด์ ที่สามารถเปลี่ยนข้อมูลบนคลิปบอร์ดได้ ซึ่งเป็นที่มาของชื่อมัลแวร์ “Clipper” โดยจ้องดูดข้อมูลรหัสผ่านและคีย์ไพรเวทบนอุปกรณ์ รวมทั้งแก้ไขที่อยู่วอลเล็ททั้งบิตคอยน์และ Ethereum ที่ถูกคัดลอกบนคลิปบอร์ดให้กลายเป็นที่อยู่วอลเล็ทของแฮ็กเกอร์แทนด้วย ผู้พัฒนามัลแวร์ตัวนี้ใช้ประโยชน์จากพฤติกรรมของผู้ใช้เงินคริปโตทั้งหลายที่ไม่มานั่งจำหรือพิมพ์ที่อยู่วอลเล็ทที่ยาวเหยียดด้วยตัวเอง แต่มักใช้การคัดลอกและวางผ่านคลิปบอร์ดมากกว่า จึงกลายเป็นช่องทางทำมาหากินของมัลแวร์ Clipper ตัวนี้ มีการพบมัลแวร์นี้ครั้งแรกบนแอพชื่อ MetaMask ซึ่งเป็นปลั๊กอินสำหรับเว็บบราวเซอร์ที่ช่วยอำนวยความสะดวกในการโอนเงิน Ethereum บนเว็บทั่วไป ซึ่งใช้ได้กับทั้ง Chrome, Firefox, และ Brave ประเด็นคือ ปลั๊กอิน MetaMask จากผู้ผลิตที่ถูกต้องปลอดภัยนั้นมีให้ใช้เฉพาะบนพีซีเท่านั้น ดังนั้นแอพ MetaMask ที่โผล่ให้โหลดบนมือถือจึงกลายเป็นแอพปลอมของอาชญากรแทน จริงๆมัลแวร์ Clipper นั้นระบาดครั้งแรกบนพีซีที่ใช้วินโดวส์ตั้งแต่ปี 2017 และต่อมาก็หันมาระบาดในแอพบนสโตร์จากเธิร์ดปาร์ตี้ของแอนดรอยด์ แต่ล่าสุดไม่กี่วันนี้สามารถแฝงตัวเข้ามาอยู่ใน Google Play Store ทางการได้ ซึ่งแม้ทางกูเกิ้ลจะลบแอพอันตรายดังกล่าวแล้ว แต่ก็ทำให้เกิดคำถามถึงความเชื่อมั่นในความปลอดภัยของสโตร์ทางการอย่างหลีกเลี่ยงไม่ได้ ——————————————————– ที่มา : EnterpriseITPro / กุมภาพันธ์ 18, 2019 Link : https://www.enterpriseitpro.net/clipper-malware-play-store-replace-btc-eth-wallet-address/

เจ้าของเว็บ WickedGen เว็บขายรหัสผ่าน Netflix, Spotify, Hulu ถูกจับในออสเตรเลีย

ภาพจากตำรวจรัฐบาลกลางออสเตรเลีย ตำรวจรัฐบาลกลางออสเตรเลีย (Australian Federal Police – AFP) ออกจดหมายข่าวจับชายอายุ 21 ผู้ดำเนินการเว็บ WickedGen.com ที่ขายบัญชีผู้ใช้เว็บที่ต้องสมัครสมาชิกหลายเว็บ รวมถึง Netflix, Spotify, และ Hulu WickedGen อาศัยฐานข้อมูลชื่อผู้ใช้และรหัสผ่านที่เคยรั่วมาก่อนหน้า แล้วนำมาตรวจสอบว่าใช้งานกับบริการเป้าหมายได้หรือไม่ เรียกว่า credential stuffing ก่อนที่เว็บจะปิดตัวลงไป ทางเว็บไซต์มีสมาชิกถึง 120,000 คน ขายบัญชีผู้ใช้ของบริการต่างๆ เกือบล้านบัญชี ทำเงินทั้งหมดประมาณ 300,000 ดอลลาร์ออสเตรเลีย หรือ 6.7 ล้านบาท คดีนี้เริ่มมาจากฝั่ง FBI ที่สอบสวนตั้งแต่กลางปีที่แล้ว แล้วจึงขอความร่วมมือกับตำรวจออสเตรเลีย ผู้ต้องหาถูกแจ้งข้อหา 5 กระทง ตั้งแต่ความผิดทางอาชญากรรมคอมพิวเตอร์, การฟอกเงิน, การใช้ข้อมูลส่วนบุคคล, และการละเมิดลิขสิทธิ์ —————————————————————— ที่มา : Blognone / 16 March 2019 Link…

NYT รายงาน อัยการกำลังสอบสวนที่ Facebook แชร์ข้อมูลให้ผู้ผลิตอุปกรณ์หลายราย

ภาพจาก Shutterstock โดย michelmond The New York Times รายงานว่า ตอนนี้อัยการกลางกำลังสืบสวนคดีเกี่ยวกับข้อตกลงแชร์ข้อมูลของ Facebook กับบริษัทเทคโนโลยีขนาดใหญ่ โดยคณะลูกขุนใหญ่ในนิวยอร์กได้ทำการสืบสวนและบันทึกหมายศาลว่าบริษัทเทคโนโลยีรายใหญ่ที่ผลิตสมาร์ทโฟนอย่างน้อยสองราย ได้ทำข้อตกลงกับ Facebook เพื่อจะได้เข้าถึงข้อมูลผู้ใช้ เช่น รายชื่อเพื่อนและข้อมูลติดต่อโดยไม่ได้รับความยินยอมจากผู้ใช้อย่างชัดเจน โฆษกของ Facebook บอกกับ The New York Times ว่าบริษัทได้ให้ความร่วมมือกับผู้ตรวจสอบและสอบสวนปัญหาเหล่านี้อย่างจริงจัง และได้เปิดเผยต่อสาธารณะต่อประเด็นข้อสงสัยหลายครั้ง และบริษัทมุ่งจะทำเช่นนั้นต่อไป ประเด็นนี้ได้รับการเผยแพร่ครั้งแรกในเดือนมิถุนายน 2018 ที่ The New York Times ออกมาเผยว่า Facebook แชร์ข้อมูลผู้ใช้ให้ผู้ผลิตสมาร์ทโฟนหลายรายช่วงสิบปีที่ผ่านมา และยังเปิดแชร์อยู่ โดยในตอนนี้ Facebook มีคดีฟ้องร้องค้างคาหลายอย่าง เช่น กระทรวงยุติธรรมกำลังสอบสวนเรื่องข้อมูลหลุดกับบริษัท Cambridge Analytica นอกจากนี้ยังมีรายงานว่า Facebook กำลังเจรจาปรับหลายพันล้านดอลลาร์กับ FTC เกี่ยวกับความล้มเหลวด้านการจัดการความเป็นส่วนตัว และยังมีการสืบสวนเรื่องข้อมูลหลุดในยุโรปที่อาจจบด้วยค่าปรับสูง 1.63 พันล้านดอลลาร์ ————————————————– ที่มา : Blognone…